[go: up one dir, main page]

DE102009057800A1 - Method for providing secure and convenient access to online accounts via remote forwarding - Google Patents

Method for providing secure and convenient access to online accounts via remote forwarding Download PDF

Info

Publication number
DE102009057800A1
DE102009057800A1 DE102009057800A DE102009057800A DE102009057800A1 DE 102009057800 A1 DE102009057800 A1 DE 102009057800A1 DE 102009057800 A DE102009057800 A DE 102009057800A DE 102009057800 A DE102009057800 A DE 102009057800A DE 102009057800 A1 DE102009057800 A1 DE 102009057800A1
Authority
DE
Germany
Prior art keywords
information
computer
server computer
access
communication device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102009057800A
Other languages
German (de)
Inventor
Bernd Borchert
Klaus Reinhardt
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Borchert It-Sicherheit Ug (haftungsbeschraenkt De
Original Assignee
Eberhard Karls Universitaet Tuebingen
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Eberhard Karls Universitaet Tuebingen filed Critical Eberhard Karls Universitaet Tuebingen
Priority to DE102009057800A priority Critical patent/DE102009057800A1/en
Priority to PCT/DE2010/001435 priority patent/WO2011069492A1/en
Publication of DE102009057800A1 publication Critical patent/DE102009057800A1/en
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • G06F21/43User authentication using separate channels for security data wireless channels
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/36User authentication by graphic or iconic representation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/77Graphical identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Bereitstellen eines sicheren und komfortablen Zugangs zu einem Dokument in einem Rechnernetz, insbesondere zu Online-Benutzerkonten (Online-Accounts). Es handelt sich dabei insbesondere um zugangsbeschränkte Benutzerkonten, die eine Autorisierung benötigen. Für das Verfahren werden neben einem Server-Rechner und einem Klienten-Rechner, die sich im gleichen Rechnernetz befinden, noch zusätzlich ein mobiles Kommunikationsgerät mit einer Kamera, einem Prozessor mit Speicher und Mitteln zur Kommunikation (z. B. ein Handy mit Internet-Zugang und eingebauter Kamera) benötigt.
Das Verfahren beinhaltet folgende Schritte ( ): der Server-Rechner A schickt nach Anfrage 1 des Klienten-Rechners B die Informationen 2 an den Klienten-Rechner B, die am Klienten-Bildschirm als Informationen 3 dargestellt werden; die Informationen 3 werden vom mobilen Kommunikationsgerät C eingelesen und verarbeitet; das Ergebnis wird als Information 4 zum Server-Rechner A übertragen; nach positiver Prüfung der Daten werden die Informationen 5 zum Klienten-Rechner B geschickt, der dort den Zugang bereitstellt.
Mit dem Verfahren wird es ermöglicht, Zugangsinformationen zu mehreren Benutzerkonten, wie z. B. Passwörter, Benutzernamen, Login-Adressen, bequem und sicher zu handhaben. Da dabei keine Dauer-Passwörter verwendet werden, sondern nur noch Einmal-Passwörter, die nur wenige Sekunden gültig sind, bietet das Verfahren somit eine Lösung für das Problem der Passwort-Flut sowie des Identitätsdiebstahls durch lauschende Trojaner.The invention relates to a method for providing a secure and convenient access to a document in a computer network, in particular to online user accounts (online accounts). These are in particular access-restricted user accounts that require authorization. For the method, in addition to a server computer and a client computer, which are located in the same computer network, in addition a mobile communication device with a camera, a processor with memory and means for communication (eg., A cell phone with Internet access and built-in camera).
The procedure involves the following steps ( ): the server computer A sends after request 1 of the client computer B the information 2 to the client computer B, which are displayed on the client screen as information 3; the information 3 is read in and processed by the mobile communication device C; the result is transmitted as information 4 to the server computer A; after a positive check of the data, the information 5 is sent to the client computer B, which provides the access there.
The method makes it possible to access access information to multiple user accounts, such. As passwords, user names, login addresses, convenient and secure to handle. Since no duration passwords are used, but only one-time passwords, which are only valid for a few seconds, the method thus provides a solution to the problem of password flood and identity theft by listening Trojans.

Figure 00000001
Figure 00000001

Description

Die vorliegende Erfindung betrifft ein Verfahren zum Bereitstellen eines sicheren und komfortablen Zugangs zu einem Dokument in einem Rechnernetz, insbesondere zu Online-Benutzerkonten (Online-Accounts).The present invention relates to a method for providing a secure and convenient access to a document in a computer network, in particular to online user accounts (online accounts).

Viele Internet-Benutzer kennen das Problem der Passwort-Flut: die vielen Passwörter (und auch die Benutzer-Namen und Login-Adressen) für die Online-Benutzerkonten können sich viele Benutzer kaum merken.Many Internet users are familiar with the password flood problem: many users can hardly remember the many passwords (and also the user names and login addresses) for the online user accounts.

Es gibt improvisierte Methoden, mit der Passwort-Flut zurecht zu kommen. Eine davon ist, sich die Passwörter auf dem eigenen Handy abzuspeichern. Entsprechende Handy-Programme gibt es schon für einige Handy-Typen. Es bleibt aber bei der manuellen Eingabe der Benutzerdaten auf dem Bildschirm. Auch das im Folgenden beschriebene Problem der Sicherheit bei der Passwort-Eingabe ist dadurch nicht gelöst, denn es handelt sich dabei weiterhin um Dauer-Passwörter.There are improvised methods to deal with the password flood. One of them is to save the passwords on your own cell phone. Corresponding mobile phone programs are already available for some types of mobile phones. However, it remains with the manual input of user data on the screen. Also, the problem described below of the security in the password input is not resolved, because it continues to be persistent passwords.

Das Eintippen eines Passworts am Computerbildschirm ist unsicher gegenüber dem Abhören durch Trojaner („Identitäts-Diebstahl” durch sog. „keylogger”): Der Trojaner beobachtet, welche Tasten bei der Passwort-Eingabe gedrückt werden. Auch wenn das Passwort per Mausklicks auf einer Tastaturanzeige am Bildschirm eingegeben wird, kann ein Trojaner es mittels Bildverarbeitung abhören. Wenn das Passwort auf dem Rechner abgespeichert ist und automatisch in das Passwort-Feld eingetragen wird, ist es sogar noch problematischer, denn der Trojaner kann es jederzeit aus dem Rechnerspeicher herauslesen oder aber bei der Eingabe abhören (auch wenn auf dem Bildschirm nur Sternchen oder andere verdeckende Zeichen angezeigt werden, kann ein Trojaner das Passwort dennoch innerhalb des Softwaresystems finden).Typing in a password on the computer screen is unsafe to eavesdropping by Trojans ("identity theft" by so-called "keyloggers"): The Trojan observes which keys are pressed when entering the password. Even if the password is entered by mouse clicks on a keyboard display on the screen, a Trojan can hear it via image processing. If the password is stored on the computer and automatically entered in the password field, it is even more problematic, because the Trojan can read it out of the computer memory at any time or listen while typing (even if on the screen only asterisks or others hidden characters, a Trojan can still find the password within the software system).

Abgelauschte Passwörter können vom Trojaner per Rechnetz heimlich verschickt werden, z. B. an Zentralen, in denen die gestohlenen Identitäten gesammelt werden, um sie dann für Missbrauch-Zwecke weiterzuverkaufen.Cheated passwords can be secretly sent by the Trojan by computer net, z. At centers where the stolen identities are collected, then resold for misuse purposes.

Es gibt Methoden gegen den Identitätsdiebstahl durch Trojaner, z. B. das Foto-PIN-Verfahren mit dem Fotohandy, siehe Patentanmeldung DE-2007029759 .There are methods against identity theft by Trojans, eg. As the photo PIN method with the camera phone, see patent application DE-2007029759 ,

Es ist bislang jedoch kein Verfahren für eine sichere und gleichzeitig für den Benutzer bequeme Handhabung von Passwörtern für Online-Benutzerkonten bekannt.However, there is no known method for secure and at the same time user-friendly handling of passwords for online user accounts.

Der vorliegenden Erfindung lag somit die Aufgabe zugrunde, ein Verfahren zum sicheren und gleichzeitig komfortablen Zugang zu Online-Dokumenten, z. B. Benutzerkonten, bereit zu stellen, insbesondere für zugangsbeschränkte Benutzerkonten, die eine Autorisierung benötigen. Mit dem Verfahren soll es außerdem möglich sein, Zugangsinformationen zu mehreren Benutzerkonten, wie z. B. Passwörter, Benutzernamen, Login-Adressen, bequem und sicher zu handhaben.The present invention was therefore based on the object, a method for secure and at the same time comfortable access to online documents, eg. As user accounts, especially for access-restricted user accounts that require authorization. The method should also be able to provide access information to multiple user accounts, such as: As passwords, user names, login addresses, convenient and secure to handle.

Diese Aufgabe wird erfindungsgemäß durch ein Verfahren gelöst, bei dem neben einem Server-Rechner und einem Klienten-Rechner, die sich im gleichen Rechnernetz befinden, noch zusätzlich ein mobiles Kommunikationsgerät mit einer Kamera, einem Prozessor mit Speicher und Mitteln zur Kommunikation mit einem Server-Rechner benötigt wird. Das mobile Kommunikationsgerät kann insbesondere ein Handy mit Internet-Zugang und eingebauter Kamera sein.This object is achieved by a method in which, in addition to a server computer and a client computer, which are located in the same computer network, in addition a mobile communication device with a camera, a processor with memory and means for communication with a server Calculator is needed. The mobile communication device may in particular be a mobile phone with Internet access and a built-in camera.

Um sich den Zugang zu einem Dokument, z. B. ein Online-Benutzerkonto, auf dem Klienten-Rechner zu verschaffen, werden folgende Schritte ausgeführt ( ).To gain access to a document, e.g. For example, to create an online user account on the client machine, the following steps are performed ( ).

Als erstes wird vom Benutzer eine Anfrage (Informationen 1) an den Server-Rechner übertragen. Das kann beispielsweise durch das Aufrufen einer sog. URL für ein Dokument (eine Internetseite) durch ein sog. Browser-Programm, das auf dem Rechner des Benutzers (Klienten-Rechner) läuft, geschehen.First, the user will request (information 1 ) to the server computer. This can be done, for example, by calling a so-called URL for a document (a website) by a so-called browser program that runs on the user's computer (client computer).

Nach dem Empfang dieser Anfrage durch den Server-Rechner wird von diesem eine Antwortnachricht (Informationen 2) generiert und auf den Klienten-Rechner übertragen.After receiving this request by the server computer from this a response message (information 2 ) and transferred to the client computer.

Diese Antwortnachricht enthält einen Teil der Autorisierungsdaten, die dazu benötigt werden, um den Zugang zum Dokument auf dem Server-Rechner bereit zu stellen. Die Antwortnachricht kann insbesondere kryptographisch verschlüsselt sein. Die Antwortnachricht wird auf dem Bildschirm des Benutzers, z. B. in Form eines Barcodes, angezeigt (Informationen 3) und kann eine Identifizierung des Server-Rechners, der aufgerufenen Internetseite, und/oder eine Identifizierung des Klienten-Rechners beim Server-Rechner enthalten.This response message contains a portion of the authorization data needed to provide access to the document on the server machine. In particular, the response message can be cryptographically encrypted. The response message is displayed on the user's screen, e.g. B. in the form of a bar code displayed (information 3 ) and may include an identification of the server computer, the accessed website, and / or an identification of the client computer at the server computer.

Die auf dem Bildschirm des Klienten-Rechners angezeigten Informationen 3 werden nun vom Benutzer mittels der Kamera des mobilen Kommunikationsgeräts eingelesen (aufgenommen) und in seinem Prozessor verarbeitet. Dabei werden die eingelesenen Informationen ggf. entschlüsselt und mit den vom Benutzer im Speicher abgelegten und für die Zuordnung von Identifizierungsdaten zu bestimmten Dokumenten (z. B. Internetseiten) notwendigen Daten verglichen. Bei diesem Vorgang wird der vom Benutzer angefragte Server-Rechner identifiziert und Autorisierungsdaten (Informationen 4) für den Zugang zum aufgerufenen Dokument auf dem Server-Rechner neu generiert. Bevorzugt stellen die neu generierten Autorisierungsdaten eine kryptographische Signatur dar.The information displayed on the screen of the client computer 3 are now read by the user by means of the camera of the mobile communication device (recorded) and processed in its processor. In this case, the information read in may be decrypted and stored with the information stored by the user in the memory and for the assignment of identification data certain documents (eg web pages) necessary data compared. In this process, the server server requested by the user is identified and authorization data (information 4 ) for the access to the called document on the server computer regenerated. Preferably, the newly generated authorization data represents a cryptographic signature.

Die neu generierten Autorisierungsdaten werden vom mobilen Kommunikationsgerät auf den Server-Rechner übertragen und von diesem geprüft. Wenn die Prüfung der Autorisierungsdaten positiv ausfällt und der Server-Rechner den Klienten-Rechner anhand der Autorisierungsdaten identifiziert hat, überträgt der Server-Rechner die Zugangsdaten (Informationen 5) an den Klienten-Rechner. Nach dem Empfang der Zugangsdaten durch den Klienten-Rechner wird der Zugang zum Dokument gewährt. Dies kann z. B. dadurch erreicht werden, dass auf dem Bildschirm des Klienten-Rechners eine neue Seite mit dem entsprechenden Dokument (z. B. Benutzerkonto) angezeigt wird. Alternativ schickt der Server-Rechner an den Klienten-Rechner die URL des angefragten Dokuments, ggf. einschließlich Autorisierungsdaten, so dass der Benutzer anschließend vom Server-Rechner den Zugang zum Dokument erhält.The newly generated authorization data are transmitted from the mobile communication device to the server computer and checked by the latter. If the check of the authorization data is positive and the server computer has identified the client computer based on the authorization data, the server computer transmits the access data (information 5 ) to the client computer. After receipt of the access data by the client computer, access to the document is granted. This can be z. This can be achieved, for example, by displaying a new page with the corresponding document (eg user account) on the screen of the client computer. Alternatively, the server computer sends to the client computer the URL of the requested document, possibly including authorization data, so that the user subsequently receives access to the document from the server computer.

Alle Autorisierungsdaten, die im vorliegenden Verfahren generiert werden (Informationen 2, 4, 5, 7, 8, 9 und 10), sind bevorzugt nur eine kurze Zeit, z. B. wenige Sekunden, gültig. Wenn nach Ablauf dieser festgelegten Zeit der Server-Rechner keine Autorisierungsdaten empfängt bzw. als übereinstimmend identifiziert, werden die späteren Anfragen vom Klienten-Server nicht beantwortet. Deswegen wird durch das erfindungsgemäße Verfahren ein Missbrauch von Autorisierungsdaten erschwert.All authorization data generated in this procedure (Information 2 . 4 . 5 . 7 . 8th . 9 and 10 ), are preferred only a short time, z. B. seconds, valid. If, at the end of this specified time, the server computer does not receive authorization data or identifies it as matching, the later requests will not be answered by the client server. Therefore, the method according to the invention makes it difficult to misuse authorization data.

Bei einem Rechnernetz-Protokoll wie dem World Wide Web (als Teil des Internets) sieht die Architektur nicht vor, dass ein Server-Rechner, der einem Klienten-Rechner ein Dokument geschickt hat, welches per sogenanntem Browser auf dem Bildschirm des Klienten-Rechners dargestellt wird, dieses Dokument auf dem Bildschirm des Klienten-Rechners direkt durch ein anderes ersetzen kann. Deshalb wird per sogenanntes ”polling” dem Server die Möglichkeit gegeben, ein Dokument beim Klienten-Rechner zu ersetzen: das neue Dokument wird als Rückantwort auf eine Anfrage des Klienten-Rechner beim Server-Rechner gesendet. Deshalb kann erfindungsgemäß der Übertragung der Zugangsdaten (Informationen 5) vom Server-Rechner an den Klienten-Rechner zusätzlich zumindest eine Übertragung von Informationen 6 vom Klienten-Rechner an den Server-Rechner vorausgehen ( ). Die Informationen 5 sind in diesem Fall eine Rückantwort auf Informationen 6.In a computer network protocol such as the World Wide Web (as part of the Internet), the architecture does not provide for a server computer to have sent a document to a client computer, which is displayed by a so-called browser on the screen of the client computer will be able to replace this document directly on the screen of the client computer with another one. Therefore, so-called "polling" gives the server the opportunity to replace a document at the client computer: the new document is sent as a response to a request from the client computer at the server computer. Therefore, according to the invention, the transmission of the access data (information 5 ) from the server computer to the client computer additionally at least one transmission of information 6 from the client computer to the server computer ( ). The information 5 are in this case a response to information 6 ,

Gemäß einer weiteren Ausführungsform der Erfindung kann das mobile Kommunikationsgerät mit mindestens einem weiteren Server-Rechner (hier als Account-Rechner bezeichnet) kommunizieren ( ). Dabei werden Anfragen (Informationen 7) vom mobilen Kommunikationsgerät erzeugt und an einen der Account-Rechner übertragen. Der Account-Rechner generiert als Antwort Informationen 8 und überträgt sie an das mobile Kommunikationsgerät. Dort werden sie verarbeitet, wobei Informationen 4 erzeugt werden, die Autorisierungsdaten für den Zugang zu einem Dokument auf dem Account-Rechner enthalten. Nach dem Empfang der Informationen 5 überträgt der Klienten-Rechner an den Account-Rechner Informationen 9, die bevorzugt auch Autorisierungsdaten enthalten. Der Account-Rechner prüft die Autorisierung und überträgt bei positivem Ergebnis die Informationen 10 an den Klienten-Rechner, die bevorzugt das angefragte Dokument darstellen.According to a further embodiment of the invention, the mobile communication device can communicate with at least one further server computer (referred to here as an account computer) ( ). In doing so, requests (information 7 ) generated by the mobile communication device and transmitted to one of the account computer. The account calculator generates information in response 8th and transmits them to the mobile communication device. There they are processed, with information 4 which contain authorization data for accessing a document on the account computer. After receiving the information 5 the client computer transfers information to the account computer 9 , which preferably also contain authorization data. The account calculator checks the authorization and transfers the information if the result is positive 10 to the client computer, which preferably represents the requested document.

Gemäß einer weiteren Ausführungsform kann das Verfahren zum Schutz gegen die Folgen eines Diebstahls des mobilen Kommunikationsgeräts mit einer Passwort-Abfrage beim Server kombiniert werden, entweder via die übliche Login-Webseite mit Passwort-Abfrage, oder aber auch via trojanersichere Verfahren, z. B. das Foto-PIN-Verfahren, wie in DE-2007029759 beschrieben.According to a further embodiment, the method for protection against the consequences of theft of the mobile communication device can be combined with a password query at the server, either via the usual login web page with password query, or via trojanersicherere method, eg. B. the photo PIN method, as in DE-2007029759 described.

Die vorliegende Erfindung betrifft ferner Computerprogrammprodukt zur Durchführung des erfindungsgemäßen Verfahrens auf einem Prozessor im Server-Rechner.The present invention further relates to computer program product for carrying out the method according to the invention on a processor in the server computer.

Die vorliegende Erfindung betrifft ferner Computerprogrammprodukt zur Durchführung des erfindungsgemäßen Verfahrens auf einem Prozessor im weiteren Server-Rechner (Account-Rechner).The present invention further relates to computer program product for carrying out the method according to the invention on a processor in another server computer (account computer).

Die vorliegende Erfindung betrifft ferner Computerprogrammprodukt zur Durchführung des erfindungsgemäßen Verfahrens auf einem Prozessor im mobilen Kommunikationsgerät.The present invention further relates to computer program product for carrying out the method according to the invention on a processor in the mobile communication device.

Mit dem erfindungsgemäßen Verfahren kann sich der Benutzer somit ohne Eintippen von Passwort und Benutzername in ein Online-Benutzerkonto am Computerbildschirm einloggen.With the method according to the invention, the user can thus log into an online user account on the computer screen without having to type in the password and the user name.

Ein weiterer Vorteil der Erfindung besteht darin, dass ein Identitäts-Diebstahl durch Trojaner auf dem Rechner des Benutzers praktisch ausgeschlossen wird, denn es werden dabei keine mehrfach benutzbaren Dauer-Passwörter verwendet, sondern nur noch Einmal-Passwörter, die nur wenige Sekunden gültig sind.Another advantage of the invention is that an identity theft by Trojans on the computer of the user is practically impossible, because it will not be used multiple times usable passwords, but only once-passwords that are valid for only a few seconds.

Weitere Vorteile, Merkmale und Anwendungsmöglichkeiten der Erfindung werden nachstehend anhand der Ausführungsbeispiele mit Bezug auf die Zeichnungen beschrieben. In den Zeichnungen zeigen:Further advantages, features and possible applications of the invention are described below with reference to the exemplary embodiments with reference described on the drawings. In the drawings show:

: Der Server-Rechner A schickt nach Anfrage 1 des Klienten-Rechners B die Informationen 2 an den Klienten-Rechner B, die am Klienten-Bildschirm als Informationen 3 dargestellt werden. Die Informationen 3 werden vom mobilen Kommunikationsgerät C eingelesen und verarbeitet. Das Ergebnis wird als Information 4 zum Server-Rechner A geschickt. Nach positiver Prüfung der Daten werden die Informationen 5 zum Klienten-Rechner B geschickt, der dort den Zugang bereitstellt. : The server computer A sends on request 1 of the client computer B the information 2 at the client computer B, which at the client screen as information 3 being represented. The information 3 are read in and processed by the mobile communication device C. The result is called information 4 sent to the server computer A. After positive examination of the data the information becomes 5 sent to the client computer B, which provides access there.

: Wenn, wie z. B. beim World Wide Web, der Server-Rechner A Informationen 5 nicht direkt an den Klienten-Rechner B schicken kann, wird dem Server-Rechner A durch eine vom Klienten-Rechner an den Server-Rechner geschickte Anfrage die Gelegenheit gegeben, die Information 5 als Rückantwort auf die Information 6 an den Klienten-Rechner B zu übertragen („polling”). : If, such as B. the World Wide Web, the server computer A information 5 can not send directly to the client computer B, the server computer A is given the opportunity by a sent by the client computer to the server computer the opportunity, the information 5 as a response to the information 6 to the client computer B to transmit ("polling").

: Beim mobilen Kommunikationsgerät C kann eine Kommunikations-Prozedur mit einem zweiten Server-Rechner (Account-Rechner) D stattfinden, die mindestens aus dem Übertragen von zwei Informationen 7 (hin) und 8 (zurück) besteht. Die Autorisierungsdaten zum Zugang auf diesen zweiten Server D kommen als Teil der Informationen 4 und 5 bei Klienten-Rechner B an, der diese Daten nutzt, um den Zugang beim zweiten Server D zu etablieren, indem er die Autorisierungsdaten als Informationen 9 an den zweiten Server D schickt, der dann den Zugang auf dem Bildschirm des Klienten-Rechners bereitstellt, indem er Information 10 an den Klienten-Rechner B überträgt. In the mobile communication device C, a communication procedure with a second server computer (account computer) D can take place, at least from the transmission of two pieces of information 7 (there and 8th (back) exists. The authorization data for access to this second server D comes as part of the information 4 and 5 at client computer B, which uses this data to establish access to the second server D by providing the authorization data as information 9 to the second server D, which then provides access to the client computer screen by providing information 10 transmits to the client computer B.

Ausführungsbeispieleembodiments

Das erfindungsgemäße Verfahren kann den Zugang zu Online-Benutzerkonten im Wesentlichen auf zwei Wegen ermöglichen: entweder über eine direkte ( und ) oder über eine indirekte Fern-Weiterleitung ( ).The method according to the invention can allow access to online user accounts in two main ways: either via a direct ( and ) or via indirect remote forwarding ( ).

Verfahren zum Bereitstellen des Zugangs zu Online-Benutzerkonten mittels einer direkten Fern-WeiterleitungMethod for providing access to online user accounts by means of direct remote forwarding

Für ein Online-Benutzerkonto, z. B. eine Download-Seite oder ein Forum, wird auf dem Fotohandy des Benutzers der Server-Name, der Konto-Name und ein geheimer krytographischer Schlüssel gespeichert. Wenn der Benutzer in das Benutzerkonto hinein will, geht er auf die Einlog-Internetseite des Benutzerkonto-Anbieters. Dort hat der Account-Server einen 2D-Code hingestellt, in dem der Server-Name und eine Session-ID stehen. Diese Information wird vom Benutzer durch Abfotografieren in das Fotohandy eingelesen. Das Fotohandy macht dann – völlig selbständig – folgendes: es sucht den abgespeicherten Benutzernamen für diesen Server-Namen; dann berechnet es aus der Session-ID mit dem Schlüssel ein Codewort (Signatur); am Schluss geht das Handy per mobiles Internet auf eine Webseite des Account-Servers und übermittelt dem Account-Server den Benutzernamen, die Session-ID und das daraus berechnete Codewort. Der Account-Server prüft die Angaben: wenn das Codewort ok ist, schaltet der Account-Server das Benutzerkonto frei, d. h. auf dem Bildschirm des Benutzers wird die Situation wie nach dem Einloggen angezeigt.For an online user account, e.g. For example, a download page or a forum, the server name, account name, and a secret cryptographic key are stored on the user's photo phone. If the user wants to go into the user account, they go to the login account of the user account provider. There, the account server has put down a 2D code containing the server name and a session ID. This information is read by the user by photographing in the camera phone. The camera phone will then - completely independently - do the following: it searches for the saved username for this server name; then it calculates a codeword (signature) from the session ID with the key; At the end, the mobile phone goes via mobile Internet to a website of the account server and sends the account server the user name, the session ID and the code word calculated from it. The account server checks the information: if the code word is ok, the account server unlocks the user account, ie. H. The situation on the user's screen is displayed as after logging in.

Verfahren zum Bereitstellen des Zugangs zu Online-Benutzerkonten mittels einer indirekten Fern-WeiterleitungMethod for providing access to online user accounts by means of indirect remote forwarding

Auf dem Fotohandy des Benutzers sind mehrere Benutzerkonten wie beim oben beschriebenen Beispiel gespeichert. Der Benutzer ruft mit seinem Browser eine feste Webseite für die indirekte Fern-Weiterleitung auf. Den auf der Seite stehenden 2D Code liest er mit einem Programm auf dem Fotohandy ein. Das Fotohandy zeigt ihm dann auf dem Display eine Liste seiner Benutzerkonten an. Der Benutzer wählt ein Benutzerkonto aus. Daraufhin setzt sich das Handy im Hintergrund mit dem entsprechenden Account-Server in Verbindung, um eine neue Session-ID („nonce”) zu erhalten, die nur wenige Sekunden gültig sein wird Die Session-ID wird auf dem Handy mit dem kryptographischen Schlüssel dieses Benutzerkontos signiert. Zusammen werden Servername, Benutzername, Session-ID und Signaturwert zum Fern-Weiterleitungs-Server geschickt, und von dort aus zum Browser am Bildschirm des Benutzers. Der Browser ruft eine Login-Seite des Account-Servers auf und schickt dabei Servername. Benutzername, Session-ID und Signaturwert als Parameter mit. Nach positiver Prüfung der Autorisierungsdaten erscheint im Browserfenster beim Benutzer das geöffnete Benutzerkonto.The user's camera phone stores multiple user accounts as in the example above. The user invokes a fixed remote redirect web page with their browser. He reads the 2D code on the page with a program on the camera phone. The camera phone then displays a list of user accounts on the display. The user selects a user account. Then the mobile phone connects in the background with the corresponding account server to get a new session ID ("nonce"), which will be valid for only a few seconds. The session ID will be on the phone with the cryptographic key of this User accounts signed. Together, the server name, user name, session ID, and signature value are sent to the remote forwarding server, and from there to the browser on the user's screen. The browser calls a login page of the account server and sends server name. Username, session ID and signature value as parameters with. After a positive check of the authorization data, the opened user account appears in the browser window of the user.

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

  • DE 2007029759 [0006, 0019] DE 2007029759 [0006, 0019]

Claims (10)

Verfahren zum Bereitstellen eines Zugangs auf einem Klienten-Rechner zu einem Dokument in einem Rechnernetz von einem mobilen Kommunikationsgerät aus, wobei das mobile Kommunikationsgerät eine Kamera, einen Prozessor mit Speicher und Mittel zur Kommunikation mit einem Server-Rechner aufweist, und der Klienten-Rechner und der Server-Rechner sich im Rechnernetz befinden, gekennzeichnet durch folgende Schritte: (a) Erzeugung von Informationen 1 als Anfrage durch den Klienten-Rechner und Übertragung von Informationen 1 an den Server-Rechner, (b) Empfang von Informationen 1 durch den Server-Rechner, Erzeugung von Informationen 2 auf dem Server-Rechner, Übertragung von Informationen 2 vom Server-Rechner auf den Klienten-Rechner, (c) Empfang von Informationen 2 und Darstellung von Informationen 3 auf dem Bildschirm des Klienten-Rechners, (d) Einlesen der Informationen 3 vom Bildschirm des Klienten-Rechners durch die Kamera des mobilen Kommunikationsgeräts, (e) Verarbeitung der Informationen 3 auf dem mobilen Kommunikationsgerät, Erzeugung von Informationen 4 und Übertragung von Informationen 4 vom mobilen Kommunikationsgerät auf den Server-Rechner, (f) Empfang und Prüfung von Informationen 4 durch den Server-Rechner, Erzeugung und Übertragung von Informationen 5 für den Zugang auf den Klienten-Rechner, (g) Bereitstellen des Zugangs auf dem Klienten-Rechner.A method for providing access on a client computer to a document in a computer network from a mobile communication device, the mobile communication device having a camera, a processor with memory and means for communicating with a server computer, and the client computer and the server computer is in the computer network, characterized by the following steps: (a) generation of information 1 as a request by the client computer and transmission of information 1 to the server computer, (b) receiving information 1 through the server computer, generating information 2 on the server machine, transfer of information 2 from the server computer to the client computer, (c) receiving information 2 and presentation of information 3 on the screen of the client computer, (d) reading the information 3 from the screen of the client computer through the camera of the mobile communication device, (e) processing the information 3 on the mobile communication device, generating information 4 and transmission of information 4 from the mobile communication device to the server computer; (f) receiving and checking information 4 through the server computer, generation and transmission of information 5 for access to the client computer, (g) providing access on the client computer. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das Dokument zugangsbeschränkt ist und eine Autorisierung für das Bereitstellen des Zugangs benötigt, insbesondere Online-Benutzerkonten.A method according to claim 1, characterized in that the document is access limited and requires authorization for providing the access, in particular online user accounts. Verfahren nach einem der vorgehenden Ansprüche, dadurch gekennzeichnet, dass mindestens eine der Informationen 1, 2, 3, 4 und 5 Autorisierungsdaten für den Zugang zu einem Dokument auf dem Server-Rechner enthalten.Method according to one of the preceding claims, characterized in that at least one of the information 1 . 2 . 3 . 4 and 5 Authorization data for access to a document contained on the server computer. Verfahren nach einem der vorgehenden Ansprüche, dadurch gekennzeichnet, dass die auf dem Bildschirm des Klienten-Rechners dargestellten Informationen 3 eine Identifizierung des Server-Rechners und/oder des Dokuments und/oder eine Identifizierung des Klienten-Rechners beim Server-Rechner beinhalten.Method according to one of the preceding claims, characterized in that the information displayed on the screen of the client computer 3 include an identification of the server computer and / or the document and / or an identification of the client computer at the server computer. Verfahren nach einem der vorgehenden Ansprüche, dadurch gekennzeichnet, dass der Speicher des mobilen Kommunikationsgeräts Informationen für die Zuordnung von Identifizierungsdaten von Server-Rechnern zu bestimmten Dokumenten gespeichert hat.Method according to one of the preceding claims, characterized in that the memory of the mobile communication device has stored information for the assignment of identification data from server computers to specific documents. Verfahren nach einem der vorgehenden Ansprüche, dadurch gekennzeichnet, dass der Übertragung der Informationen 5 zumindest eine Übertragung von Informationen 6 vom Klienten-Rechner an den Server-Rechner vorausgeht.Method according to one of the preceding claims, characterized in that the transmission of the information 5 at least one transmission of information 6 from the client computer to the server computer. Verfahren nach einem der vorgehenden Ansprüche, dadurch gekennzeichnet, dass das mobile Kommunikationsgerät mit einem zweiten Server-Rechner kommuniziert, wobei Informationen 7 von dem mobilen Kommunikationsgerät erzeugt und an den zweiten Server-Rechner übertragen werden, die Informationen 7 vom zweiten Server-Rechner empfangen werden, Informationen 8 vom zweiten Server-Rechner erzeugt und an das mobile Kommunikationsgerät übertragen werden, Informationen 8 vom mobilen Kommunikationsgerät empfangen und verarbeitet werden, wobei Informationen 4 erzeugt werden, und das Bereitstellen des Zugangs auf dem Klienten-Rechner dadurch zustande kommt, dass der Klienten-Rechner Informationen 9 an den zweiten Server-Rechner überträgt, der zweiter Server-Rechner Informationen 10 erzeugt und an den Klienten-Rechner überträgt.Method according to one of the preceding claims, characterized in that the mobile communication device communicates with a second server computer, wherein information 7 generated by the mobile communication device and transmitted to the second server computer, the information 7 received from the second server computer, information 8th generated by the second server computer and transmitted to the mobile communication device, information 8th be received and processed by the mobile communication device, taking information 4 and providing access to the client computer is accomplished by the client computer having information 9 transmits to the second server computer, the second server computer information 10 generated and transmitted to the client computer. Verfahren nach einem der vorgehenden Ansprüche, dadurch gekennzeichnet, dass mindestens eine der Informationen 1, 2, 4, 5, 7, 8, 9 und 10 Autorisierungsdaten für den Zugang zu einem Dokument auf dem zweiten Server-Rechner enthalten.Method according to one of the preceding claims, characterized in that at least one of the information 1 . 2 . 4 . 5 . 7 . 8th . 9 and 10 Authorization data for accessing a document contained on the second server computer. Verfahren nach einem der vorgehenden Ansprüche, dadurch gekennzeichnet, dass die Autorisierungsdaten für das Bereitstellen des Zugangs eine begrenzte Zeit nach ihrer Erzeugung durch den Server-Rechner und/oder durch den zweiten Server-Rechner und/oder durch das mobile Kommunikationsgerät gültig sind.Method according to one of the preceding claims, characterized in that the authorization data for providing the access is valid for a limited time after its generation by the server computer and / or by the second server computer and / or by the mobile communication device. Computerprogrammprodukte zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 9, wenn die Computerprogramme auf einem Prozessor im Server-Rechner oder im zweiten Server-Rechner oder im mobilen Kommunikationsgerät ausgeführt werden.Computer program products for carrying out the method according to one of claims 1 to 9, when the computer programs are executed on a processor in the server computer or in the second server computer or in the mobile communication device.
DE102009057800A 2009-12-10 2009-12-10 Method for providing secure and convenient access to online accounts via remote forwarding Withdrawn DE102009057800A1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102009057800A DE102009057800A1 (en) 2009-12-10 2009-12-10 Method for providing secure and convenient access to online accounts via remote forwarding
PCT/DE2010/001435 WO2011069492A1 (en) 2009-12-10 2010-12-09 Method for providing a secure and convenient access to online accounts via remote forward

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102009057800A DE102009057800A1 (en) 2009-12-10 2009-12-10 Method for providing secure and convenient access to online accounts via remote forwarding

Publications (1)

Publication Number Publication Date
DE102009057800A1 true DE102009057800A1 (en) 2011-06-16

Family

ID=43902641

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102009057800A Withdrawn DE102009057800A1 (en) 2009-12-10 2009-12-10 Method for providing secure and convenient access to online accounts via remote forwarding

Country Status (2)

Country Link
DE (1) DE102009057800A1 (en)
WO (1) WO2011069492A1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2981815A1 (en) * 2011-10-19 2013-04-26 Bertrand Labaye Method for secure authentication and contactless access control for mobile phone user, involves sending single-use authentication code that identifies authentication transaction by server to access control device
FR3003671A1 (en) * 2013-03-25 2014-09-26 Cassidian Cybersecurity Sas METHOD FOR GENERATING A CODE FOR SECURING A TRANSACTION
EP2897321A4 (en) * 2012-09-12 2015-11-18 Zte Corp User identity authenticating method and device for preventing malicious harassment

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ES2606602T3 (en) * 2012-08-02 2017-03-24 Banco Bilbao Vizcaya Argentaria, S.A. Method for generating a code, method and authorization system for an operation
IN2013DE00375A (en) * 2013-02-08 2015-06-26 Anant Kochhar
CN107689944A (en) * 2016-08-05 2018-02-13 阿里巴巴集团控股有限公司 Identity identifying method, device and system
CN107147625B (en) * 2017-04-25 2019-12-24 杭州禹乐网络科技有限公司 Game login management system and method

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10138381A1 (en) * 2001-08-13 2003-03-06 Orga Kartensysteme Gmbh Computer system and data access control method
US20050125301A1 (en) * 2003-12-04 2005-06-09 Ashish Muni System and method for on the spot purchasing by scanning barcodes from screens with a mobile device

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4660398B2 (en) * 2005-12-23 2011-03-30 株式会社東芝 USER AUTHENTICATION SYSTEM, PROVIDING SERVER DEVICE, PORTABLE COMMUNICATION DEVICE, USER PORTABLE COMMUNICATION DEVICE, AUTHORIZER PORTABLE COMMUNICATION DEVICE, AUTHENTICATION SERVER DEVICE AND PROGRAM FOR THESE DEVICES
PL2166697T3 (en) * 2008-09-17 2012-02-29 Gmv Soluciones Globales Internet S A Method and system for authenticating a user by means of a mobile device

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10138381A1 (en) * 2001-08-13 2003-03-06 Orga Kartensysteme Gmbh Computer system and data access control method
US20050125301A1 (en) * 2003-12-04 2005-06-09 Ashish Muni System and method for on the spot purchasing by scanning barcodes from screens with a mobile device

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2981815A1 (en) * 2011-10-19 2013-04-26 Bertrand Labaye Method for secure authentication and contactless access control for mobile phone user, involves sending single-use authentication code that identifies authentication transaction by server to access control device
EP2897321A4 (en) * 2012-09-12 2015-11-18 Zte Corp User identity authenticating method and device for preventing malicious harassment
US9729532B2 (en) 2012-09-12 2017-08-08 Zte Corporation User identity authenticating method and device for preventing malicious harassment
FR3003671A1 (en) * 2013-03-25 2014-09-26 Cassidian Cybersecurity Sas METHOD FOR GENERATING A CODE FOR SECURING A TRANSACTION

Also Published As

Publication number Publication date
WO2011069492A1 (en) 2011-06-16

Similar Documents

Publication Publication Date Title
DE602004012996T2 (en) METHOD AND DEVICE FOR AUTHENTICATING USERS AND WEBSITES
DE102011089580B3 (en) Method for reading e.g. attribute stored in passport, for electronic-commerce application, involves examining whether attribute of security assertion markup language response fulfills criterion as premiss for contribution of service
EP2454703B1 (en) Method for reading attributes from an id token
DE102011084728B4 (en) Method for starting an external application and bidirectional communication between a browser and an external application without browser extensions
EP2415228B1 (en) Method for reading attributes of a token via a wireless connection
DE102010028133A1 (en) A method of reading an attribute from an ID token
DE102009057800A1 (en) Method for providing secure and convenient access to online accounts via remote forwarding
EP2817758B1 (en) Computer-implemented payment method
EP2620892B1 (en) Method for generating a pseudonym with the help of an ID token
EP3540623B1 (en) Method for generating a pseudonym with the help of an id token
CH701203B1 (en) The portable apparatus and method for securely exchanging data with a remote computer.
WO2013152986A1 (en) Secure generation of a user account in a service server
EP2783320B1 (en) Method for authenticating a person at a server instance
EP3414879B1 (en) Using a non-local cryptography method after authentication
DE102021125572B3 (en) Method for performing an authentication process by an individual system user
DE102007046102B4 (en) A method for protecting against modification of data and for authenticating the data transmitter in the data transmission by using encryption methods in which, with knowledge of encrypted and unencrypted data, other data can no longer be encrypted correctly as randomly.
WO2015114160A1 (en) Method for the secure transmission of characters
DE102011122972B3 (en) Method for starting an external application and bidirectional communication between a browser and an external application without browser extensions
DE102011110898A1 (en) Method for authentication of e.g. robot, for providing access to services of e.g. information system, involves providing or inhibiting access of user to services of computer system based on authentication result
DE102012204821A1 (en) Providing identity attributes of a user
DE202005021814U1 (en) Device for the secure electronic transmission of data from a first data processing device to a second data processing device
WO2008028457A1 (en) Method and apparatus for hampering phishing attacks

Legal Events

Date Code Title Description
R016 Response to examination communication
OP8 Request for examination as to paragraph 44 patent law
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: G06F0021220000

Ipc: G06F0021350000

R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: G06F0021220000

Ipc: G06F0021350000

Effective date: 20130115

R081 Change of applicant/patentee

Owner name: BORCHERT IT-SICHERHEIT UG (HAFTUNGSBESCHRAENKT, DE

Free format text: FORMER OWNER: EBERHARD-KARLS-UNIVERSITAET TUEBINGEN, 72074 TUEBINGEN, DE

Effective date: 20130419

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20140701